Názory k článku
Zpráva o stavu kybernetické bezpečnosti ČR za rok 2022

Nejvetsi hrozbou jsou (nepratelskymi) staty sponzorovani akteri... a co dela NUKIB treba ve zminovane transpozici NIS2? Stale baziruje na periodicky vynuvovanych zmenach hesla, i kdyz se uz davno prokazalo, ze to je ptakovina...

Ale veci, ktere problem fakt jsou a tem (nepratelskym) akterum zivot realne usnadnuji neresi vubec. Protoze to jsou detaily, kterym oni sami uz moc nerozumi. A i argumentace spojena s oduvodnenim te vynucene periodicke zmeny to dokazuje. Ohani se offline utoky, ale vubec neresi to, jak ty hesla jsou ulozena. Defacto ti bezpecnostni radoby-experti z NUKIBu dali rovnitko mezi MD5 a Argon2id... byt rizika spojena s offline utoky jsou nesrovnatelna

20. 7. 2023, 20:36 editováno autorem komentáře

Mate co jste si zaplatili.

Za rok 2022 urad "zkonzumoval" skoro 600 milionu (z toho 267 milionu na platy), to zas tak malo penez taky neni. Nakolik se penize vynakladaji ucelne je vec k diskuzi. Ale cilit jen na co mozna nejvetsi pocet tabulkovych mist stastne nebude. Kvantita (lidi) kvalitu nezajisti...

zrejme ani nejsou sto ta mista zaplnit

https://nukib.cz/cs/216-kariera/#1

Sranda je, že někde maj aj chybu 404.
To se pak nelze divit, že se místo nezaplní.
Anebo je to záměr a místo je již obsazeno jiným kanálem.

22. 7. 2023, 12:51 editováno autorem komentáře

Dobrý den,

"Ale veci, ktere problem fakt jsou a tem (nepratelskym) akterum zivot realne usnadnuji neresi vubec."

Jaké třeba "věci" máte na mysli? Děkuji.

Zase jen prokazuješ svoji neznalost.

(4) Algoritmy pro bezpečné ukládání hesel
a) Schválené algoritmy
1. Argon2 s parametry alespoň t=1, m=221, p=4 a funkcí Argon2id
2. Scrypt s parametry alespoň N=32768 (215), r=8, a p=1
3. PbKDF2 s počtem iterací alespoň 100 000 a schválenou hašovací funkcí SHA-2

Jakapak neznalost - NUKIB sam pri potrebe vynucovat periodicke zmeny hesel argumentuje moznymi offline utoky na uniklou databazi. A tam samozrejme zalezi na algoritmu i parametrech. Ty offline utoky s algoritmy ad vyse (pripadne i s tvrdsimi parametry) samozrejme tak trivialni taky nebudou, ze? :-)

A nebo teda vyporadani pripominek a vyhlasky o periodickych zmenach hesel pise na urade nekdo jiny nez autor toho doporuceni kryptografickych algoritmu... navic jak znamo, povinny subjekt je sice povinnen toto doporuceni zohlednit, ale to jeste neznamena, ze zminene algoritmy jsou nasazene opravdu vsude (tzn. jak si to kdo okeca)... aneb mozna prave proto NUKIB tlaci neco, co neni v souladu s NIST SP 800-63B, byt se na ni sam jinde odvolava... ostatne to v te argumentaci take padlo, ze "duvodem" je mj. i absence monitoringu bezpecnostnich incidentu. A urad misto toho, aby tlacil prave ten monitoring se alibisticky schovava za nucene periodicke zmeny hesel - i kdyz je davno prokazano, ze to bezpecnost naopak snizuje.

Aneb s tim jak to NUKIB nastavuje je spise ocekavatelny stav, ze heslo zvenci nekdo louskne hrubou silou a nikdo si toho ani nevsimne (monitoring je vedome na druhe koleji). Rekl bych ze to hrozi spis, nez ten unik databaze s hesly a offline utok na ni... i to, ze nekde utece zaber s heslem napsanem na listecku je pravdepodobnejsi ;-) A to stejne peiodicky vynucovana zmena nezachrani....

A ted jsem se ze srandy podival, co NUKIB pouziva jako ticketak u GovCertu... Request tracker verze 4.0.20... davno end-of-life... :-) Fakt tihle experti chteji poucovat o bezpecnosti? Kdyz nedokazou udrzovat aktualni ani sve vlastni systemy? Jasne, maji tam pluginy, co asi neni jednoduche preportovat... ale doufaji, ze lidi okolo jsou pitomci, co si podobnych veci nevsimnou?

Jinak receno vlade je uplne fuk co jim NUKIB predlozi. Jak jinak si vysvetlit, ze zatimco vsude ve svete pocet incidentu na kritickou infrastrukturu roste tak v CR NUKIB hlasi snizeni a vlada to proste schvali.

NUKIB hlasi snizeni, protoze mu nikdo nereportuje. Nikdo mu nereportuje, protoze tem expertum neco vysvetlit, to da zabrat. NUKIB misto aby skolil, predvadel, testoval doporucovane vydava sva zavazna doporuceni od stolu, byt prevest je do praxe, tak 60% serveru ztrati schopnost s temi dle NUKIB zabezpecenymi vubec navazat komunikaci.

Kdyz misto derave e-obcanky podporuji ekonomickou kriminalitu USA (Huawei), a jeste tupe odkyvou kazdou EU stupiditu, stavaji se akorat byrokratickym nastrojem pro vylouceni malych a strednich firem z IT zakazek, k velke radosti lobbistu z NAKIT

Možná, že když něco nahlásíte, koledujete si o kontrolu co jste zanedbali a pokutu.

No, pokud se incident neprojevi navenek, tak se jeho vznik take neprokazuje uplne trivialne :-) Rekl bych, ze jejich schopnost najit nenahlaseny incident s ohledem na jinde predvadene vykony ponekud precenujete.